Ich versuche seit Tagen für eine Domain so ein Zertifikat hinzubekommen und weis nicht was ich falsch mache. Der DNS Record sieht so aus, siehe Anhang. Was ist daran falsch?
Danke
Ich versuche seit Tagen für eine Domain so ein Zertifikat hinzubekommen und weis nicht was ich falsch mache. Der DNS Record sieht so aus, siehe Anhang. Was ist daran falsch?
Danke
Unabhängig davon, wenn es um Webhosting geht: Häkchen bei "Wildcard" NICHT setzen, dann will er auch nichts mit DNS validieren.
(Und Forensuche benutzen. Danke.)
Danke!
Ich habe die Woche mehrfach versucht, Wildcard-Zertifikate in einem Webhosting-Paket für zwei Domains anzulegen und dabei die Anleitung befolgt.
Ohne Erfolg, was am Ende nicht schlimm war, da die Domain- und Subdomain-spezifischen Zertifikate gut funktionieren.
Mir war aber auch vorher nicht klar dass
1) Subdomains die auf das gleiche Hosting zeigen, automatisch ein Zertifikat bekommen mit der dritten Checkbox
2) Die Notwendigkeit, einen eigenen TXT-Record anzulegen, bei bei allen Optionen außer Wildcard entfällt
Vorher hatte ich das bei einer Hauptdomain schon einmal richtig gemacht in Plesk, die Vorgehensweise aber zwischenzeitlcih vergessen.
Damals hatte ich wohl nachgelesen, dass Wildcard-Certs generell als "Bad practice" gelten, wenn man sie nicht unbedingt braucht.
Was die Wildcard-Certs angeht, ich brauche sie ja jetzt nicht, habe aber den Verdacht, dass es einfach nicht funktinoiert? 48h habe ich jedenfalls gewartet.
Ich konnte auch die TXT-Records meiner Domain nie mit dig abrufen.
Momentan versuche ich es mal, via CCP die DNS-Record-TTL zu reduzieren und einen TXT-Record für die "Google Site Verification" bei einer meiner Domains anzulegen. Bin gespannt, ob das im Webhosting funktioniert.
Das einzige, was ich mit der Forensuche zu DNS-TXT-Records gefunden habe, ist dieses Thema:
wo es zufällig auch um Wildcard-Zertifikate geht.
Allerdings fällt es mir schwer, die Suche zu nutzen.
Das Thema finde ich z.B. mit "dns text record", aber nicht mit "dns txt" (wohl zu unspezifisch?)
(ach so und im Screenshot aus dem EIngangsposts, fehlt da nicht der Domainname hinter dem "_acme-challenge"? Oder ist das implizit. In der Aufforderungl, die erscheint beim Beantragen des LE-Zertifikats, steht der jedenfalls bei mir mit drin.)
(ach so und im Screenshot aus dem EIngangsposts, fehlt da nicht der Domainname hinter dem "_acme-challenge"? Oder ist das implizit. In der Aufforderungl, die erscheint beim Beantragen des LE-Zertifikats, steht der jedenfalls bei mir mit drin.)
Der Domainnae ist nicht notwendig (meiner Meinung nach). Ist aber egal weil das mit dem DNS sowieso nicht funktioniert
Alles klar, die gleiche Erfahrung habe ich mit meinem anderen TXT-Record auch gemacht.
Die DNS-Methode sollte aber trotzdem funktionieren. Genauso sollten jegliche DNS-Änderungen nach 10-20 Minuten live sein.
Falls nicht: Bitte mal Screenshot(s) posten, wo die Spalten "Host" und "gültig" sichtbar sind, nachdem eine halbe Stunde seit den letzten Änderungen vergangen ist.
Das mit den Wildcard-Certs wollte ich jetzt nicht nochmal anstoßen, nachdem LetsEncrypt mit Domain und Subdomain überall eingerichtet ist.
Ich kann also gerade nur einen anderen TXT-Record testen, den mit der "google-site-verification".
Meine Domain ist kein großes Geheimnis, ich habe sie trotzdem leidlich unkenntlich gemacht.
Das bringt mich natürlich direkt auf einen Gedanken, ist es falsch, die Domain als "Host" einzutragen?
Soll da der Dach-Host des ganzen Netcup-Pakets oder ein * rein, oder eine IP-Adresse?
Bei der Erstellung von Wildcard-Zertifikaten wird man aber aufgefordert, dort _acme-challenge.meine-webhosting-domain.de einzugeben und anschließend mit bis zu 48h Wartezeit die öffentliche Sichtbarkeit des DNS-Records zu prüfen mit dem Kommmando
dig -t TXT +short _acme-challenge.meine-domain.de
Das hatte ich probiert, ohne Erfolg (dig in verschiedenen 9er-Versionen, einmal Debian einmal macos).
Bin komplett ahnungslos was das Thema DNS angeht.
Aber der google-site-verification Record aus dem screenshot ist bei meiner Domain immer noch im CCP eingetragen und wird bisher nicht öffentlich sichtbar, soweit ich das nachvollziehen kann.
Sehe trotzdem nur den Record
oder auch hiermit:
https://toolbox.googleapps.com/apps/dig/#TXT
Ist der Host-Eintrag falsch?
Das Wildcard-Cert müsste jemand nochmal testen, der es benötigt, ich habe ja festgestellt, dass ich es nicht brauche.
ZitatHost: In dieser Spalte ist die Subdomain einzutragen. Als Wildcard dient hier das * (Sternchen). Bei einem Record für die Stammdomain (ohne Subdomain, z.B. für ihredomain.tld) ist ein @ zu setzen. Subdomains müssen mit der entsprechenden Bezeichnung im Host-Feld eingetragen werden (z.B. "webmail" für webmail.ihredomain.tld). Hierbei ist darauf zu achten, "webmail" ohne den dazugehörigen Domainnamen (z.B. ihredomain.tld) zu hinterlegen.
Beantwortet das die Frage, die gefühlt wöchentlich hier gestellt wird?
Perfekt, ja – vielen Dank!
Wenn man über das Panel ein wildcard-Zertifikat anlegt, wird halt von Plesk eine missverständliche Anleitung angezeigt für Leute, die so doof sind wie ich
Dort steht sinngemäß (habe keine freie Domain mehr für einen Screenshot)
Zitattragen Sie einen DNS-Record vom Typ TXT ein mit der Domain _acme-challenge.ihre-domain.tld und dem Inhalt (...)
...was ja nicht falsch ist.
Trotzdem habe ich mangels Fachwissen die Erklärung im DNS-Panel nicht gesehen / keinen Zusammenhang mit der Anleitung für das Zertifikat hergestellt, war wohl nicht der einzige.
> die gefühlt wöchentlich hier gestellt wird?
Vorherige Beiträge scheinen über die Suche schwer auffindbar zu sein.
Siehe:
https://forum.netcup.de/system…=wildcard+let%27s+encrypt (ein Ergebnis, dieser Thread)
Suchergebnisse - netcup Kundenforum
Hier enthält der erste Thread hilfreiche Infos, aber nicht zur Bedienung des DNS-Panels in Plesk.
Die anderen beiden Threads scheinen keinen direkten Zusammenhang zu haben
Nicht ganz einfach, hier fehlendes Fachwissen an sich (LE Challenge/Response, DNS-Records) und netcup- oder Plesk-spezifisches auseinander zu halten.
Dachte auch zwischenzeitlich, ich benötigte für Wildcard-Zertifikate eine Lösung wie certbot oder ein Skript, um die TXT-Records automatisch zu aktualisieren, wenn ein neues Zertifikat ausgestellt wird nach Ablauf.
Scheint ja auch so zu sein, wenn ich den Post richtig verstehe:
Vielleicht was für einen Wiki-Eintrag?
Wie gesagt, ich benötige kein Wildcard-Zertifikat mehr und habe heir sogar die Antwort auf meine andere Frage gefunden
Alles anzeigenAber der google-site-verification Record aus dem screenshot ist bei meiner Domain immer noch im CCP eingetragen und wird bisher nicht öffentlich sichtbar, soweit ich das nachvollziehen kann.
Sehe trotzdem nur den Record
oder auch hiermit:
https://toolbox.googleapps.com/apps/dig/#TXT
Ist der Host-Eintrag falsch?
Dass der "google-site-verification Record" via dig -t TXT +short meine-domain.de.meine-domain.de sichtbar wäre, wurde wohl oben geklärt.
Was mich allerdings in diesem Fall verwundert, ist, dass tatsächlich die Erläuterung bei Google selbst (dort wird "zufälligerweise" die Verwendung von "@" angesprochen) direkt das korrekte Ergebnis hätte liefern sollen: Domain mit einem TXT-Eintrag schützen. Man müsste eigentlich nur die einzelnen Schritte wortwörtlich befolgen:
Alles klar, danke für den Link, geklappt hat es auch gestern schon, diese Anleitung hatte ich nicht gefunden oder gesucht.
Im Nachhinein keine Ahnung warum ich nicht nochmal bei Google gesucht habe, in der „Search Console“ habe ich den Link dann wohl übersehen.
(edit: gibt keinen, hätte ich suchen müssen, wie gesagt, hatte halt keine Ahnung 🤷♂️)
Bin nur auf die Idee gekommen, Wikipedia zu DNS-Records zu lesen, das war dann aber zu viel auf einmal für mich. War auf die Idee versteift die Lösung bei Netcup zu suchen, wie gesagt, fehlendes Grundwissen dann eben. Hat ja über Umwege hier gut geklappt
Zur Erläuterung dazu:
> Was mich allerdings in diesem Fall verwundert, ist, dass tatsächlich die Erläuterung bei Google selbst (dort wird "zufälligerweise" die Verwendung von "@" angesprochen) direkt das korrekte Ergebnis hätte liefern sollen: Domain mit einem TXT-Eintrag schützen. Man müsste eigentlich nur die einzelnen Schritte wortwörtlich befolgen:
In der "Search Console" ist dieser Artikel verlinkt:
https://support.google.com/webmasters/answer/9008080#domain_name_verification
Und dort steht nirgendwo etwas von "@".
Dort steht stattdessen
> For a TXT record, you should leave the name/host field blank and use your TXT string in the DNS record's value field
Schon klar, mir hat das Wissen gefehlt, ich bedanke deshalb mich für die Hilfe...
Man wählt halt ein Webhosting-Paket in der Regel, weil man von Dingen wie DNS eher wenig Ahnung hat.
auch in deinem link steht unter TXT DNS record instructions:
»For the Host/Name property, either leave this blank, or set as "@", as described in the documentation for your DNS provider.«
solchen DNS-einstellungskram hast du halt immer, egal ob server oder webhosting.
ich würde das jetzt einfach unter »wieder was gelernt« abheften.